深信服渠道认证培训防火墙和行为管理PPT课件.ppt

SANGFORNGAF基本网络配置介绍 SANGFORNGAF接口和区域设置 深信服公司简介 SANGFORNGAF静态路由和策略路由 SANGFORNGAF策略路由应用案例 SANGFORNGAF 1 1物理接口1 2子接口1 3VLAN接口1 4区域 NGAF接口和区域设置 1 1物理接口 物理接口与NGAF设备面板上的接口一一对应 根据网口数据转发特性的不同 可选择路由接口 透明接口和虚拟网线接口三种类型 每种接口又可设置WAN或非WAN属性 物理接口无法删除或新增 物理接口的数目由硬件型号决定 1 1 1路由接口 路由接口 如果设置为路由接口 则需要给该接口配置IP地址 且该接口具有路由转发功能 实时检测接口的链路状态 以及多条外网线路情况下 某条线路故障 流量自动切换到其它线路 均需开启链路故障检测 WAN属性的接口必须开启链路故障检测功能 1 1 1路由接口 ADSL拨号 如果设置为路由接口 并且是ADSL拨号 需要选上添加默认路由选项 默认勾选 1 1 1路由接口 管理口 Eth0为固定的管理口 接口类型为路由口 且无法修改 Eth0可增加管理IP地址 默认的管理IP10 251 251 251 24无法删除 1 1 2透明接口 透明接口 透明接口相当于普通的交换网口 不需要配置IP地址 不支持路由转发 根据MAC地址表转发数据 1 1 3虚拟网线接口 在负载均衡网络中 透明部署NGAF设备 要求eth1和eth3这对网口 与eth2和eth4这对网口二层隔离 即从eth1口进入的数据必须从eth3口转发 eth2口进入的数据必须从eth4口转发 我们通过配置虚拟网线接口来满足部署的需求 1 1 3虚拟网线接口 虚拟网线接口 虚拟网线接口也是普通的交换接口 不需要配置IP地址 不支持路由转发 转发数据时 无需检查MAC表 直接从虚拟网线配对的接口转发 虚拟网线接口的转发性能高于透明接口 单进单出网桥的环境下 推荐使用虚拟网线接口部署 1 1 4聚合接口 聚合接口 将多个以太网接口捆绑在一起所形成的逻辑接口 创建的聚合接口成为一个逻辑接口 而不是底层的物理接口 最多支持4个聚合接口 不支持旁路镜像 负载均衡 hash 按数据包源目的IP MAC的hash值均分负载均衡 RR 直接按数据包轮转均分到每个接口主备模式 取eth最大号为主接口收发包 其余为备接口 1 2子接口 子接口 子接口应用于路由接口需要启用VLANTRUNK的场景 子接口是逻辑接口 只能在路由口下添加子接口 子接口的下一跳网关和链路故障检测根据实际环境进行配置 1 3VLAN接口 VLAN接口 为VLAN定义IP地址 则会产生VLAN接口 VLAN接口也是逻辑接口 VLAN接口的下一跳网关和链路故障检测根据实际环境进行配置 接口设置注意事项 2 管理口不支持设置成透明接口或虚拟网线接口 如果要设置2对或2对以上的虚拟网线接口 则必须要求设备不少于5个物理接口 预留一个专门的管理口Eth0 1 设备支持配置多个WAN属性的路由接口连接多条外网线路 但是需要开通多条线路的授权 3 一个路由接口下可添加多个子接口 路由接口的IP地址不能与子接口的IP地址在同网段 1 4区域 区域 用于定义和归类接口 以供防火墙 内容安全 服务器保护 流量管理等模块调用 定义区域时 需根据控制的需求来规划 可以将一个接口划分到一个区域 或将几个相同需求的接口划分到同一个区域 一个接口只能属于一个区域 可以在区域中选择接口 也可以预先设置好区域名称 在接口中选择区域 2 1静态路由2 2策略路由2 3策略路由应用案例 NGAF静态路由和策略路由功能 2020 2 8 18 2 1静态路由 NGAF的静态路由用于手动添加路由条目 可新增单个静态路由或新增多个静态路由 当AF设备有多个路由接口设置了同网段的IP地址时 通过手动指定接口来匹配路由从哪个接口转发 按照示例格式填写 一行对应一条静态路由 接口和度量值可省略 2 2策略路由 NGAF的策略路由功能主要用于设备有多个接口和多条外网线路时 根据源 目的IP 源 目的端口 协议以及应用等条件进行出接口和线路选择 以实现不同的数据走不同的外网线路的自动选路功能 策略路由常用的应用场景 1 源地址策略路由 根据源IP地址和协议选择接口或下一跳 实现用户访问数据的分流 可实现不同网段的内网用户 分别通过不同的线路接口访问公网 2 多线路负载路由 设备上有多条外网线路 通过策略路由的轮询 带宽比例 加权最小流量 优先使用前面的线路的接口策略 动态的选择线路 实现线路带宽的有效利用 备份和负载均衡 2 2策略路由 源地址策略路由 根据源IP地址和协议选择接口或下一跳 2 2策略路由 多线路负载路由 可选择轮询 带宽比例 加权最小流量 优先使用前面线路四种策略 2 3策略路由应用案例 用户环境 某用户网络环境如图所示 公网出口有两条电信线路 内网用户访问教育网资源必须通过专线才能访问到 用户需求 内网所有用户访问网上银行TCP443端口的数据全部走10M电信线路 内网所有P2P应用走10M电信线路3 内网用户访问公网时按照带宽比例自动选择线路 4 访问教育网的所有资源均走专线 2 3策略路由应用案例 配置思路 1 接口和区域设置 1 1连接公网电信线路的两个接口eth1和eth2必须设置成WAN属性的路由口 且正确配置下一跳网关 线路带宽 开启链路故障检测 配置省略 1 2定义 内网区域 将eth3接口划分到 内网区域 配置省略 策略路由设置 2 1添加源地址策略路由 来自于 内网区域 目标IP选择全部 目标端口为TCP443的数据 选择接口eth2 2 2添加源地址策略路由 来自于 内网区域 目标ISP为教育网 填写下一跳地址为192 168 1 2 2 3添加源地址策略路由 来自于 内网区域 属于P2P应用的选择接口eth22 4添加多线路负载路由 来自于 内网区域 目标IP选择全部 选择接口eth1和eth2 接口选择策略为带宽比例 2 3策略路由应用案例 静态路由设置3 1添加静态路由0 0 0 0 0 0 0 0 下一跳指向eth2接口的网关 添加静态路由是为了防止策略路由失效的情况下 内网用户还可以通过静态路由访问公网 2 3策略路由应用案例 策略路由配置步骤 添加源地址策略路由 2 3策略路由应用案例 策略路由配置步骤 添加源地址策略路由 2 3策略路由应用案例 策略路由配置步骤 添加基于应用的策略路由 2 3策略路由应用案例 策略路由配置步骤 添加多线路负载路由 2 3策略路由应用案例 静态路由配置 静态路由和策略路由功能注意事项 静态路由优先于策略路由 策略路由优先于默认路由 每一条外网线路必须至少有一条策略路由与之对应 源地址策略路由或多线路负载路由均可 源地址策略路由选择接口时 只能选择WAN属性的路由接口 源地址策略路由 通过直接填写路由的下一跳 可以实现从设备非WAN属性的接口转发数据 多线路负载路由选择的接口 必须是WAN属性的路由接口 必须开启链路故障检测功能 才能实现线路故障自动切换 多条策略路由 按照从上往下的顺序匹配 一旦匹配到某条策略路由后 不再往下匹配 练练手 某客户原来的网络拓扑如右图所示 公网出口为电信和网通双线路 现需要部署SANGFORNGAF设备用来保护服务器和内网用户上网的安全 此外还需要实现内网用户上网 访问电信服务器走电信线路 访问网通服务器走网通线路 如果任意线路故障 能实现自动切换 如何部署和配置